Azure İlkesi kullanarak NSG akış günlüklerini yönetme

  • Makale

Azure İlkesi, kuruluş standartlarını zorunlu kılmanıza ve uygun ölçekte uyumluluğu değerlendirmenize yardımcı olur. Azure İlkesi'nin yaygın kullanım örnekleri kaynak tutarlılığı, mevzuata uyumluluk, güvenlik, maliyet ve yönetim için idare uygulamayı içerir. Azure ilkesi hakkında daha fazla bilgi edinmek için bkz. Azure İlkesi nedir? ve Hızlı Başlangıç: Uyumlu olmayan kaynakları tanımlamak için ilke ataması oluşturma.

Bu makalede, ağ güvenlik grubu (NSG) akış günlüklerinizi yönetmek için iki yerleşik ilke kullanmayı öğreneceksiniz. İlk ilke, akış günlüklerinin etkinleştirilmediği tüm ağ güvenlik gruplarına bayrak ekler. İkinci ilke, akış günlükleri etkin olmayan NSG akış günlüklerini otomatik olarak dağıtır.

Yerleşik ilke kullanarak ağ güvenlik gruplarını denetleme

Akış günlükleri her ağ güvenlik grubu ilkesi için yapılandırılmalıdır ve türündeki Microsoft.Network/networkSecurityGroupstüm Azure Resource Manager nesnelerini denetleyerek bir kapsamdaki tüm mevcut ağ güvenlik gruplarını denetler. Bu ilke daha sonra ağ güvenlik grubunun akış günlükleri özelliği aracılığıyla bağlantılı akış günlüklerini denetler ve akış günlükleri etkin olmayan tüm ağ güvenlik gruplarına bayrak ekler.

Yerleşik ilkeyi kullanarak akış günlüklerinizi denetlemek için:

  1. Azure Portal’ında oturum açın.

  2. Portalın üst kısmındaki arama kutusuna ilke girin. Arama sonuçlarında İlke'yi seçin.

    Azure portalında Azure İlkesi arama işleminin ekran görüntüsü.

  3. Atamalar'ı ve ardından İlke ata'yı seçin.

    Azure portalında ilke atama düğmesini seçme işleminin ekran görüntüsü.

  4. İlkenin denetlemesini istediğiniz ağ güvenlik gruplarını içeren Azure aboneliğinizi seçmek için Kapsam'ın yanındaki üç noktayı (...) seçin. Ağ güvenlik gruplarını içeren kaynak grubunu da seçebilirsiniz. Seçimlerinizi yaptıktan sonra Seç düğmesini seçin.

    Azure portalında ilkenin kapsamını seçme işleminin ekran görüntüsü.

  5. Atamak istediğiniz yerleşik ilkeyi seçmek için İlke tanımının yanındaki üç noktayı (...) seçin. Arama kutusuna akış günlüğü yazın ve yerleşik filtreyi seçin. Arama sonuçlarından Akış günlükleri her ağ güvenlik grubu için yapılandırılmalıdır'ı ve ardından Ekle'yi seçin.

    Azure portalında denetim ilkesini seçme işleminin ekran görüntüsü.

  6. Atama adı alanına bir ad girin ve Atanan alanına adınızı girin.

    Bu ilke herhangi bir parametre gerektirmez. Ayrıca herhangi bir rol tanımı içermez, bu nedenle Düzeltme sekmesinde yönetilen kimlik için rol atamaları oluşturmanız gerekmez.

  7. Gözden geçir ve oluştur'u seçin ve ardından Oluştur seçeneğini belirleyin.

    Azure portalında denetim ilkesi atamak için Temel Bilgiler sekmesinin ekran görüntüsü.

  8. Uyumluluk'a tıklayın. Ödevinizin adını arayın ve seçin.

    Denetim ilkesine dayalı uyumsuz kaynakları gösteren Uyumluluk sayfasının ekran görüntüsü.

  9. Uyumlu olmayan tüm ağ güvenlik gruplarının listesini almak için Kaynak uyumluluğu'na tıklayın.

    Denetim ilkesine dayalı uyumsuz kaynakları gösteren İlke uyumluluğu sayfasının ekran görüntüsü.

Yerleşik ilke kullanarak NSG akış günlüklerini dağıtma ve yapılandırma

Akış günlüğü kaynağını hedef ağ güvenlik grubuyla dağıt ilkesi, türündeki Microsoft.Network/networkSecurityGroupstüm Azure Resource Manager nesnelerini denetleyerek bir kapsamdaki tüm mevcut ağ güvenlik gruplarını denetler. Ardından, ağ güvenlik grubunun akış günlükleri özelliği aracılığıyla bağlantılı akış günlüklerini denetler. Özelliği yoksa, ilke bir akış günlüğü dağıtır.

deployIfNotExists ilkesini atamak için:

  1. Azure Portal’ında oturum açın.

  2. Portalın üst kısmındaki arama kutusuna ilke girin. Arama sonuçlarında İlke'yi seçin.

    Azure portalında Azure İlkesi arama işleminin ekran görüntüsü.

  3. Atamalar'ı ve ardından İlke ata'yı seçin.

    Azure portalında ilke atama düğmesini seçme işleminin ekran görüntüsü.

  4. İlkenin denetlemesini istediğiniz ağ güvenlik gruplarını içeren Azure aboneliğinizi seçmek için Kapsam'ın yanındaki üç noktayı (...) seçin. Ağ güvenlik gruplarını içeren kaynak grubunu da seçebilirsiniz. Seçimlerinizi yaptıktan sonra Seç düğmesini seçin.

    Azure portalında ilkenin kapsamını seçme işleminin ekran görüntüsü.

  5. Atamak istediğiniz yerleşik ilkeyi seçmek için İlke tanımının yanındaki üç noktayı (...) seçin. Arama kutusuna akış günlüğü yazın ve yerleşik filtreyi seçin. Arama sonuçlarından Hedef ağ güvenlik grubuyla akış günlüğü kaynağı dağıt'ı ve ardından Ekle'yi seçin.

    Azure portalında dağıtım ilkesini seçme işleminin ekran görüntüsü.

  6. Atama adı alanına bir ad girin ve Atanan alanına adınızı girin.

    Azure portalında dağıtım ilkesi atamak için Temel Bilgiler sekmesinin ekran görüntüsü.

  7. İleri düğmesini iki kez seçin veya Parametreler sekmesini seçin. Ardından aşağıdaki değerleri girin veya seçin:

    Ayar Value
    NSG Bölgesi İlkeyle hedeflediğiniz ağ güvenlik grubunuzun bölgesini seçin.
    Depolama kimliği Depolama hesabının tam kaynak kimliğini girin. Depolama hesabının ağ güvenlik grubuyla aynı bölgede olması gerekir. Depolama kaynağı kimliğinin biçimi şeklindedir /subscriptions/<SubscriptionID>/resourceGroups/<ResouceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>.
    Ağ İzleyicisi s RG Azure Ağ İzleyicisi örneğinizin kaynak grubunu seçin.
    Ağ İzleyicisi adı Ağ İzleyicisi örneğinizin adını girin.

    Azure portalında dağıtım ilkesi atamaya yönelik Parametreler sekmesinin ekran görüntüsü.

  8. İleri'yi veya Düzeltme sekmesini seçin. Aşağıdaki değerleri girin veya seçin:

    Ayar Value
    Düzeltme görevi oluşturma İlkenin mevcut kaynakları etkilemesini istiyorsanız onay kutusunu seçin.
    Yönetilen Kimlik Oluşturma Onay kutusunu seçin.
    Yönetilen Kimlik Türü Kullanmak istediğiniz yönetilen kimlik türünü seçin.
    Sistem tarafından atanan kimlik konumu Sistem tarafından atanan kimliğinizin bölgesini seçin.
    Scope Kullanıcı tarafından atanan kimliğinizin kapsamını seçin.
    Mevcut kullanıcı tarafından atanan kimlikler Kullanıcı tarafından atanan kimliğinizi seçin.

    Not

    Bu ilkeyi kullanmak için Katkıda Bulunan veya Sahip iznine sahip olmanız gerekir.

    Azure portalında dağıtım ilkesi atamaya yönelik Düzeltme sekmesinin ekran görüntüsü.

  9. Gözden geçir ve oluştur'u seçin ve ardından Oluştur seçeneğini belirleyin.

  10. Uyumluluk'a tıklayın. Ödevinizin adını arayın ve seçin.

    Dağıtım ilkesine dayalı uyumsuz kaynakları gösteren Uyumluluk sayfasının ekran görüntüsü.

  11. Uyumlu olmayan tüm ağ güvenlik gruplarının listesini almak için Kaynak uyumluluğu'na tıklayın.

    Uyumsuz kaynakları gösteren İlke uyumluluğu sayfasının ekran görüntüsü.

  12. Uyumlu olmayan tüm ağ güvenlik grupları için akış günlüklerini değerlendirmek ve dağıtmak için ilke çalıştırmalarını bırakın. Ardından yeniden Kaynak uyumluluğu'nu seçerek ağ güvenlik gruplarının durumunu denetleyin (ilke düzeltmesini tamamladıysa uyumsuz ağ güvenlik grupları görmezsiniz).

    Tüm kaynakların uyumlu olduğunu gösteren İlke uyumluluğu sayfasının ekran görüntüsü.

Sonraki adımlar

  • NSG akış günlükleri hakkında daha fazla bilgi edinmek için bkz . Ağ güvenlik grupları için akış günlükleri.
  • Yerleşik ilkeleri trafik analiziyle kullanma hakkında bilgi edinmek için bkz. Azure İlkesi kullanarak trafik analizini yönetme.
  • Akış günlüklerini ve trafik analizini dağıtmak için Azure Resource Manager (ARM) şablonunu kullanmayı öğrenmek için bkz . Azure Resource Manager şablonu kullanarak NSG akış günlüklerini yapılandırma.